いつもの前置き
・Splunkには色々なAppがある。
・とはいえコミュニティサポート(英語)のAppは始めるまでにちょっと敷居が高い。
・そこで私がトライした内容は後学のために共有したいと思いここに書き残します。
・ゆるい情報なので参考程度でご勘弁。
Splunk Security Essentialがとうとう日本語ローカライズされた?
・利用App
Splunk Cloud Gateway
とりあえず実際に見てみた
確かに日本語になっています。質はほぼGoogle翻訳したものと変わらない
しかし今までだと、Google翻訳かけると、参考となるSPLまで翻訳されてしまい意味がわからなくなっていたので、それがなくなっただけでもまずは良しとしたい。
ルールを検索するSecurity Contentsページに関してももちろん日本語になっている。
- ルールのフィルタ機能がずいぶんMITER ATT&CKフレームワークを意識した作りに変わっていることがわかる
早速、下記パラメータをセットして検索
1. Data Source: EDR
2. ATT&CK Technique: Command-Line Interface
3. Featured: All
- 昨今、EDR製品が注目されているが、splunkはMicrosoftの無償ツール sysmonとも相性がよく、マルウェアの振る舞いをプロセスから検知、監視することができるルールが複数用意されている。
- sysmonについてはこちらご参考ください。
6つのルールがヒットした
- ルールの概要とMITERの参考リンクページが用意されている
#### 「異常に長いCLIコマンドの検索」ルールを見てみよう
-
良かった。ここも日本語になっている。
-
MITER ATT&CKでいうところのExecutionフェーズで使われる手口であることがわかる。Cyber Kill Chainフェーズにおいてもどこで有効かがわかる。
デモデータを元にしたサーチイメージとアウトプットイメージが表示されている
- サーチが記載されているのでブラックボックスでないところがsplunkの分かりやすいところ。
確かにプロセスの中でこんなに長いプロセスがあったら驚くな。
- 検知ロジックはサーチを見るとわかるが、いわゆる統計的な外れ値を元にして不審なプロセスを検知している
実際のデータで試したいなと思ったら
- ページ上段の右上にある「Live Data」をクリック
生データを検索
-
サーチ内容からinputlookupがなくなり、実際のデータを見ているようだ
-
ちゃんと検知しました。powershellを使ったコマンドラインの長過ぎる不審なプロセスを検知できました。
####ポイント:ルールは環境にあわせてチューニング可能
- たとえば以下のように4σから10σ外れているものを検知に変更する
| where maxlen>10*stdevperhost+avgperhost
-
スケジュールサーチとして登録
-
1件でも見つかったらアラート発砲(0のままでOK)
-
cronなど任意のスケジュールでサーチを実行するように設定
-
メール通知なども忘れずに
-
メールが届くとこんな感じ
まとめ
- Security Essentialを使って、せっかく収集したデータからプロアクティブに潜在的な脅威を発見するThreat Huntingを始められます
- そもそもルール適用する前にどんなログソースが必要なの?と疑問に思った方は下記ご参考ください。
SplunkとThreat Hunting - どうやらきれいにローカライズされたバージョンはまだ先になる模様。今回はgoogle翻訳レベルのbeta版みたいなものらしい、Version2.4であれば日本語で見れるが、すぐに修正版が出て、ローカライズ機能は一旦、消える模様です。。正式サポートを受けるのは常に最新版のAppを使う必要があるのでご留意ください。